Jörg Reinholz: PHP include-Path und open_basedir

Beitrag lesen

Moin!

Das führt leider dazu, dass man auch mit den anderen Datei-Lesefunktionen auf das Verzeichnis zugreifen kann und dann die Includes doch im Klartext bekommt.

Ja. Aber wenn jemand über ein Skript beliebige Dateien lesen kann, dann hast Du eh ein Problem. Wenn ich die zu öffnende Datei (wie auch immer) vom Besucher nennen lasse, dann

  1. schreibe ich selbst das Verzeichnis davor
  2. ggf. sogar die Endung
  3. verbiete nicht genehme Zeichen (lasse nur a-zA-z0-9_.- zu) und
  4. schmeisse auch Doppelpunkte und führende Punkte raus

Wenn die Benutzer Skripte ablegen, dann verwende mod suhosin und setze die Eigentümer und Rechte passend.

(Backen, braten und der "Königin ihr Kind holen":)

Ist das möglich und welchen Aufwand würde es bedeuten?

Herunterladen, patchen, "backen" und installieren. Problem: Immer wenn ein Update kommt darfst Du prüfen, ob die zu patchende Datei noch der vorherigen Version entspricht. Wenn ja kann man die auch gleich automatisch per Skript patchen, und auch dann wieder PHP "backen" und installieren...

Wie umfassend die Änderungen sind und welche Seiteneffekte diese haben kann nicht nicht wissen. Das es nicht in 10 Minuten getan ist ahne ich aber nicht nur.

Jörg Reinholz